全部產品
Search
文件中心

Key Management Service:憑據管理快速入門

更新時間:May 16, 2026

在應用程式中寫入程式碼資料庫密碼、API 金鑰等敏感資訊容易導致憑據泄露。KMS 憑據管理服務支援將敏感性資料集中託管並加密儲存,應用程式通過 VPC 網路使用 SDK 動態擷取憑據,無需在代碼中嵌入任何敏感資訊。本文介紹如何建立憑據並在應用程式中整合。

憑據類型概覽

Key Management Service(Key Management Service,簡稱 KMS)提供憑據的全生命週期管理,支援建立、更新、輪轉和刪除憑據。應用程式通過 SDK 動態擷取憑據值,避免在代碼中寫入程式碼敏感性資料。

憑據類型

適用情境

說明

通用憑據

託管任意索引值對或文本形式的敏感性資料

適用於 API 金鑰、連接字串、認證文本等情境。敏感性資料長度不超過 30720 位元組(30 KB)。

RAM 憑據

託管 RAM 使用者的 AccessKey

選擇已有的 RAM 使用者,託管其 AccessKey。憑據名稱根據 RAM 使用者名稱自動產生,支援自動輪轉。

資料庫憑據(RDS)

託管 RDS 資料庫帳號和口令

關聯 RDS 執行個體,管理的資料庫帳號。支援雙帳號模式,輪轉時自動切換,避免串連中斷。

資料庫憑據(PolarDB)

託管 PolarDB 資料庫帳號和口令

關聯 PolarDB MySQL/PgSQL 執行個體,僅支援雙帳號模式和一鍵建立帳號。

資料庫憑據(Redis)

託管 Redis/Tair 執行個體的帳號和口令

關聯 Redis 或 Tair 執行個體,僅支援雙帳號模式,建立時自動在資料庫中建立兩個許可權相同的帳號。

ECS 憑據

託管 ECS 執行個體的登入口令或 SSH 金鑰對

關聯 ECS 執行個體和系統使用者,託管登入憑據。支援口令和 SSH 金鑰對兩種格式。

前提條件

已在 KMS 執行個體中建立用於加密憑據的對稱金鑰,且密鑰和憑據必須屬於同一個 KMS 執行個體。具體操作,請參見建立密鑰

步驟一:建立憑據

建立憑據時可開啟自動輪轉,KMS 將定期更新憑據值,降低憑據泄露風險。各憑據類型的建立方法如下。

通用憑據

說明

通用憑據不支援在建立時設定輪轉資訊。如需輪轉通用憑據,請參見管理及使用通用憑據

  1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 凭据管理

  2. 自管凭据頁簽凭据类型地區,單擊通用凭据

  3. 在右側列表上方,單擊创建通用凭据,完成以下配置後,單擊确定

    配置項

    說明

    凭据名称

    自訂憑據名稱,需確保名稱在當前地區內唯一。

    设置凭据值

    選擇憑據鍵/值純文字,輸入要託管的敏感性資料。長度不超過 30720 位元組(30 KB)。

    初始版本号

    初始版本號碼,預設為 v1,支援自訂。

    加密主密钥

    選擇用於加密憑據值的對稱金鑰。密鑰和憑據必須屬於同一個 KMS 執行個體。

    重要
    • 密鑰和憑據需要屬於同一個 KMS 執行個體,且密鑰必須為對稱金鑰。關於 KMS 支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格

    • 如果是 RAM 使用者、RAM 角色,需要具備使用加密主要金鑰執行 GenerateDataKey 操作的許可權。

    標籤

    為憑據添加標籤,便於分類管理。每個標籤由索引值對(Key:Value)組成。

    說明
    • 標籤鍵和標籤值的格式:最多支援 128 個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元 at(@)、空格。

    • 標籤鍵不能以 aliyun 或 acs:開頭。

    • 每個憑據最多可以設定 20 個標籤索引值對。

    描述信息

    填寫憑據的補充描述資訊,便於後續識別和管理。

    高级设置 > 策略配置

    設定憑據的存取權限策略,可控制哪些 RAM 使用者或角色可以讀取或修改此憑據。

    可先選擇預設策略,建立後根據業務需要修改。

RAM 憑據

  1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 凭据管理

  2. 自管凭据頁簽凭据类型地區,單擊RAM凭据

  3. 在右側列表上方,單擊创建RAM凭据,完成以下配置後,單擊确定

    配置項

    說明

    选择RAM用户

    選擇要託管憑據的 RAM 使用者,所選使用者至少需有一個 AccessKey。憑據名稱根據 RAM 使用者名稱自動產生。

    如沒有 AccessKey,請先建立。

    设置凭据值

    輸入對應 AccessKey Secret,長度不超過 30720 位元組(30 KB)。

    加密主密钥

    選擇用於加密憑據值的對稱金鑰。密鑰和憑據必須屬於同一個 KMS 執行個體。

    重要
    • 密鑰和憑據需要屬於同一個 KMS 執行個體,且密鑰必須為對稱金鑰。關於 KMS 支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格

    • 如果是 RAM 使用者、RAM 角色,需要具備使用加密主要金鑰執行 GenerateDataKey 操作的許可權。

    標籤

    為憑據添加標籤,便於分類管理。每個標籤由索引值對(Key:Value)組成。

    說明
    • 標籤鍵和標籤值的格式:最多支援 128 個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元 at(@)、空格。

    • 標籤鍵不能以 aliyun 或 acs:開頭。

    • 每個憑據最多可以設定 20 個標籤索引值對。

    自动轮转

    選擇是否啟用自動輪轉功能。啟用後,KMS 將按照設定的周期自動更新憑據值,降低憑據泄露風險。

    天数(7天~365天)

    僅在開啟開啟自動輪轉時設定。表示輪轉周期,設定後 KMS 將定期更新憑據值。

    描述信息

    填寫憑據的補充描述資訊,便於後續識別和管理。

    高级设置 > 策略配置

    設定憑據的存取權限策略,可控制哪些 RAM 使用者或角色可以讀取或修改此憑據。

    可先選擇預設策略,建立後根據業務需要修改。

資料庫憑據(RDS)

僅支援選擇创建单个凭据

  1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 凭据管理

  2. 自管凭据頁簽凭据类型地區,單擊数据库凭据

  3. 在右側列表上方,單擊创建数据库凭据下的创建单个凭据,完成以下配置後,單擊确定

    配置項

    說明

    数据库类型

    選擇RDS凭据

    凭据名称

    自訂憑據名稱,需確保名稱在當前地區內唯一。

    RDS实例

    選擇阿里雲帳號下已有的 RDS 執行個體。

    账号托管

    • 双账号托管(推薦):適用於程式化訪問資料庫情境。託管兩個相同許可權的帳號,保證口令重設切換的瞬間,程式訪問資料庫不被中斷。

      • 單擊新建账号,配置帳號名、選擇資料庫並指定許可權。

        說明
        • 一鍵建立和授權不會立即配置新帳號,需審核確認憑據資訊後才會建立。

        • RDS PostgreSQL 配置後,在建立階段無法擷取資料庫名稱,需手動設定 DBName。

      • 單擊导入已有账号,選擇使用者名稱、配置口令。

        說明

        建議將口令配置為建立 RDS 執行個體使用者帳號時對應的密碼。如果匯入的帳號和口令不匹配,可在憑據首次輪轉後擷取正確的帳號和口令。

    • 单账号托管:適用於高許可權帳號或人工營運帳號託管情境。口令重設切換的瞬間,憑據目前的版本可能暫時無法使用。

      • 單擊新建账号,配置帳號名、選擇帳號類型。

        支援普通账号高权限账号兩種帳號類型。選擇普通账号時,還需選擇資料庫並指定許可權。

      • 單擊导入已有账号頁簽,選擇使用者名稱、配置口令。

    加密主密钥

    選擇用於加密憑據值的對稱金鑰。密鑰和憑據必須屬於同一個 KMS 執行個體。

    重要
    • 密鑰和憑據需要屬於同一個 KMS 執行個體,且密鑰必須為對稱金鑰。關於 KMS 支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格

    • 如果是 RAM 使用者、RAM 角色,需要具備使用加密主要金鑰執行 GenerateDataKey 操作的許可權。

    標籤

    為憑據添加標籤,便於分類管理。每個標籤由索引值對(Key:Value)組成。

    說明
    • 標籤鍵和標籤值的格式:最多支援 128 個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元 at(@)、空格。

    • 標籤鍵不能以 aliyun 或 acs:開頭。

    • 每個憑據最多可以設定 20 個標籤索引值對。

    自动轮转

    選擇是否啟用自動輪轉功能。啟用後,KMS 將按照設定的周期自動更新憑據值,降低憑據泄露風險。

    轮转周期

    僅在開啟開啟自動輪轉時設定。支援設定為 6 小時~365 天。

    表示輪轉周期,設定後 KMS 將定期更新憑據值。

    描述信息

    填寫憑據的補充描述資訊,便於後續識別和管理。

    高级设置 > 策略配置

    設定憑據的存取權限策略,可控制哪些 RAM 使用者或角色可以讀取或修改此憑據。

    可先選擇預設策略,建立後根據業務需要修改。

資料庫憑據(PolarDB)

僅支援選擇创建单个凭据,並且僅支援 PolarDB MySQL/PgSQL 的新建账号双账号托管,不支援導入已有賬號單賬號託管

  1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 凭据管理

  2. 自管凭据頁簽凭据类型地區,單擊数据库凭据

  3. 在右側列表上方,單擊创建数据库凭据下的创建单个凭据,完成以下配置後,單擊确定

  4. 配置項

    說明

    数据库类型

    選擇PolarDB凭据

    凭据名称

    自訂憑據名稱,需確保名稱在當前地區內唯一。

    PolarDB实例

    選擇阿里雲帳號下已有的 PolarDB 執行個體。

    账号托管

    双账号托管:適用於程式化訪問資料庫情境。建立兩個相同許可權的帳號,保證口令重設切換的瞬間,程式訪問資料庫不被中斷。

    新建账号:配置帳號名和許可權,帳號類型僅支援普通帳號。MySQL 憑據建立時需選擇資料庫和許可權。

    說明
    • 一鍵建立和授權不會立即建立新帳號,而是在審核確認憑據資訊後建立。

    • 帳號名必須唯一,如果帳號名已存在則無法託管到憑據中

    加密主密钥

    選擇用於加密憑據值的對稱金鑰。密鑰和憑據必須屬於同一個 KMS 執行個體。

    重要
    • 密鑰和憑據需要屬於同一個 KMS 執行個體,且密鑰必須為對稱金鑰。關於 KMS 支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格

    • 如果是 RAM 使用者、RAM 角色,需要具備使用加密主要金鑰執行 GenerateDataKey 操作的許可權。

    標籤

    為憑據添加標籤,便於分類管理。每個標籤由索引值對(Key:Value)組成。

    說明
    • 標籤鍵和標籤值的格式:最多支援 128 個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元 at(@)、空格。

    • 標籤鍵不能以 aliyun 或 acs:開頭。

    • 每個憑據最多可以設定 20 個標籤索引值對。

    自动轮转

    選擇是否啟用自動輪轉功能。啟用後,KMS 將按照設定的周期自動更新憑據值,降低憑據泄露風險。

    轮转周期

    僅在開啟自動輪轉功能時設定。支援設定為 6 小時~365 天。

    表示輪轉周期,設定後 KMS 將定期更新憑據值。

    描述信息

    填寫憑據的補充描述資訊,便於後續識別和管理。

    高级设置 > 策略配置

    設定憑據的存取權限策略,可控制哪些 RAM 使用者或角色可以讀取或修改此憑據。

    可先選擇預設策略,建立後根據業務需要修改。

資料庫憑據(Redis)

支援创建单个凭据创建批量凭据,以單個憑據為例介紹。

  1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 凭据管理

  2. 自管凭据頁簽凭据类型地區,單擊数据库凭据

  3. 在右側列表上方,單擊创建数据库凭据下的创建单个凭据,完成以下配置後,單擊确定

  4. 配置項

    說明

    数据库类型

    選擇Redis/Tair实例

    凭据名称

    自訂憑據名稱,需確保名稱在當前地區內唯一。

    Redis/Tair实例

    選擇阿里雲帳號下已有的 Redis 執行個體或 Tair 執行個體。

    账号托管

    僅支援双账号托管

    设置凭据值

    僅支援託管新建立的帳號,不支援託管已有的 Redis/Tair 存量帳號。

    • 定制账号名:自訂 Redis/Tair 資料庫的帳號,KMS 會調用 API 新建立兩個許可權相同的資料庫帳號及口令。例如自訂帳號為 user,則會建立 useruser_clone 兩個帳號。

    • 指定权限:取值為读写只读。兩個新帳號許可權相同。

    加密主密钥

    選擇用於加密憑據值的對稱金鑰。密鑰和憑據必須屬於同一個 KMS 執行個體。

    重要
    • 密鑰和憑據需要屬於同一個 KMS 執行個體,且密鑰必須為對稱金鑰。關於 KMS 支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格

    • 如果是 RAM 使用者、RAM 角色,需要具備使用加密主要金鑰執行 GenerateDataKey 操作的許可權。

    標籤

    為憑據添加標籤,便於分類管理。每個標籤由索引值對(Key:Value)組成。

    說明
    • 標籤鍵和標籤值的格式:最多支援 128 個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元 at(@)、空格。

    • 標籤鍵不能以 aliyun 或 acs:開頭。

    • 每個憑據最多可以設定 20 個標籤索引值對。

    自动轮转

    選擇是否啟用自動輪轉功能。啟用後,KMS 將按照設定的周期自動更新憑據值,降低憑據泄露風險。

    轮转周期

    僅在開啟自動輪轉功能時設定。支援設定為 6 小時~365 天。

    表示輪轉周期,設定後 KMS 將定期更新憑據值。

    描述信息

    填寫憑據的補充描述資訊,便於後續識別和管理。

    高级设置 > 策略配置

    設定憑據的存取權限策略,可控制哪些 RAM 使用者或角色可以讀取或修改此憑據。

    可先選擇預設策略,建立後根據業務需要修改。

ECS 憑據

  1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 凭据管理

  2. 自管凭据頁簽凭据类型地區,單擊ECS凭据

  3. 在右側列表上方,單擊创建ECS凭据,完成以下配置後,單擊确定

  4. 配置項

    說明

    凭据名称

    自訂憑據名稱,需確保名稱在當前地區內唯一。

    托管实例

    選擇阿里雲帳號下已有的 ECS 執行個體。

    托管用户

    填寫 ECS 執行個體上已有的使用者名稱稱,例如 root(Linux)或 Administrator(Windows)。

    初始凭据值

    憑據值的長度不超過 30720 位元組(30 KB)。

    • 口令:使用者登入 ECS 執行個體的密碼。

    • 金鑰組:使用者登入 ECS 執行個體的 SSH 金鑰對。

      擷取 SSH 金鑰對

      • 通過 ECS 建立 SSH 金鑰對

        • 私密金鑰:建立後瀏覽器自動下載 金鑰組名稱.pem 到本地電腦。

        • 公開金鑰:查看公開金鑰的方法,請參見查看 SSH 公開金鑰文檔。

      • 自行產生 SSH 金鑰對

        在產生金鑰組的同時儲存私密金鑰和公開金鑰。以使用 ssh-keygen 命令產生並儲存 3072 位 RSA 金鑰組為例:

        ssh-keygen -t RSA -b 3072 -m PEM -f ~/.ssh/sshKey_demo -N ""

        執行完成後產生兩個檔案:

        • ~/.ssh/sshKey_demo:儲存私密金鑰。

        • ~/.ssh/sshKey_demo.pub:儲存公開金鑰。

    說明

    憑據值必須正確配置。如果憑據值不正確,在 ECS 憑據首次輪轉前,從 KMS 擷取的口令或金鑰組將無法正常登入 ECS 執行個體。

    加密主密钥

    選擇用於加密憑據值的對稱金鑰。密鑰和憑據必須屬於同一個 KMS 執行個體。

    重要
    • 密鑰和憑據需要屬於同一個 KMS 執行個體,且密鑰必須為對稱金鑰。關於 KMS 支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格

    • 如果是 RAM 使用者、RAM 角色,需要具備使用加密主要金鑰執行 GenerateDataKey 操作的許可權。

    標籤

    為憑據添加標籤,便於分類管理。每個標籤由索引值對(Key:Value)組成。

    說明
    • 標籤鍵和標籤值的格式:最多支援 128 個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元 at(@)、空格。

    • 標籤鍵不能以 aliyun 或 acs:開頭。

    • 每個憑據最多可以設定 20 個標籤索引值對。

    自动轮转

    選擇是否啟用自動輪轉功能。啟用後,KMS 將按照設定的周期自動更新憑據值,降低憑據泄露風險。

    轮转周期

    僅在開啟自動輪轉功能時設定。支援設定為 1 小時~365 天。

    表示輪轉周期,設定後 KMS 將定期更新憑據值。

    描述信息

    填寫憑據的補充描述資訊,便於後續識別和管理。

    高级设置 > 策略配置

    設定憑據的存取權限策略,可控制哪些 RAM 使用者或角色可以讀取或修改此憑據。

    可先選擇預設策略,建立後根據業務需要修改。

說明

建立成功後,憑據列表中將顯示新建立的憑據,確認憑據名稱、類型正確且狀態為"已啟用"。

步驟二:在應用程式中擷取憑據

本文以阿里雲軟體開發套件(SDK) Java 版為例,介紹在應用程式中動態擷取憑據的方法。

準備工作

  1. 準備 SDK 運行環境。

    環境要求:已安裝 Java 8 或更高版本。

    驗證方法:在終端運行 java -version,確認版本符合要求。

  2. 安裝 SDK。在專案中添加以下 Maven 依賴,使用阿里雲 SDK(V2.0)。

    重要

    建議使用最新版本,訪問kms-20160120瞭解更多版本和原始碼資訊。

    <dependency>
      <groupId>com.aliyun</groupId>
      <artifactId>kms20160120</artifactId>
      <version>1.4.0</version>
    </dependency>
  3. 建立介面調用憑證。阿里雲 SDK 支援多種認證方式,以下以 RAM 使用者的存取金鑰(AccessKey,簡稱 AK)為例。

    1. RAM 控制台建立 RAM 使用者的 AccessKey。如已有 AccessKey,可跳過此步驟。

    2. 為 RAM 使用者授予訪問 KMS 的許可權;如需擷取憑據值,需授予系統權限原則 AliyunKMSSecretUserAccessAliyunKMSCryptoUserAccess,詳情請參見權限原則配置

      說明

      KMS 提供兩種存取權限設定方式:

  4. 擷取 KMS 執行個體的 CA 憑證。

    1. 实例管理頁面,單擊软件密钥管理硬件密钥管理頁簽後,選擇目標KMS執行個體。

    2. 單擊執行個體ID或單擊操作列详情,在详情頁的实例CA证书地區,單擊下載並妥善保管。

      說明

      CA認證下載後檔案名稱預設為PrivateKmsCA_kst-******.pem。

  5. 擷取執行個體 VPC 地址。

    1. 实例管理頁面,單擊软件密钥管理硬件密钥管理頁簽後,選擇目標KMS執行個體。

    2. 單擊執行個體ID進入到詳情頁,查看实例VPC地址image

擷取憑據

  1. 初始化 SDK 用戶端。

    說明

    運行程式碼範例前,請將代碼中的以下預留位置替換為實際值:

    • <執行個體 VPC 地址>:替換為 KMS 執行個體的 VPC 地址

    • <執行個體 CA 憑證>:替換為 KMS 執行個體 CA 憑證的實際內容

    • <SecretName>:替換為步驟一中建立的憑據名稱

        public static com.aliyun.kms20160120.Client createClient() throws Exception {
            // 工程代碼泄露可能會導致 AccessKey 泄露,並威脅帳號下所有資源的安全性。以下程式碼範例僅供參考。
            // 建議使用更安全的 STS 方式,更多鑒權訪問方式請參見:https://www.alibabacloud.com/help/document_detail/378657.html。
            com.aliyun.teaopenapi.models.Config config = new com.aliyun.teaopenapi.models.Config()
                    // 必填,請確保代碼運行環境設定了環境變數 ALIBABA_CLOUD_ACCESS_KEY_ID。
                    .setAccessKeyId(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"))
                    // 必填,請確保代碼運行環境設定了環境變數 ALIBABA_CLOUD_ACCESS_KEY_SECRET。
                    .setAccessKeySecret(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
            // Endpoint 請輸入執行個體 VPC 地址,例如 kst-hzz65f176a0ogplgq****.cryptoservice.kms.aliyuncs.com
            config.endpoint = "<執行個體 VPC 地址>";
            // 請填寫執行個體 CA 憑證的內容
            config.ca = "<執行個體 CA 憑證>";
            return new com.aliyun.kms20160120.Client(config);
        }
  2. 調用 GetSecretValue 介面擷取憑據值。

    // This file is auto-generated, don't edit it. Thanks.
    package com.aliyun.sample;
    
    import com.aliyun.tea.*;
    
    public class Sample {
    
      public static com.aliyun.kms20160120.Client createClient() throws Exception {
            // 工程代碼泄露可能會導致 AccessKey 泄露,並威脅帳號下所有資源的安全性。以下程式碼範例僅供參考。
            // 建議使用更安全的 STS 方式,更多鑒權訪問方式請參見:https://www.alibabacloud.com/help/document_detail/378657.html。
            com.aliyun.teaopenapi.models.Config config = new com.aliyun.teaopenapi.models.Config()
                    // 必填,請確保代碼運行環境設定了環境變數 ALIBABA_CLOUD_ACCESS_KEY_ID。
                    .setAccessKeyId(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"))
                    // 必填,請確保代碼運行環境設定了環境變數 ALIBABA_CLOUD_ACCESS_KEY_SECRET。
                    .setAccessKeySecret(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
            // Endpoint 請輸入執行個體 VPC 地址,例如 kst-hzz65f176a0ogplgq****.cryptoservice.kms.aliyuncs.com
            config.endpoint = "<執行個體 VPC 地址>";
            // 請填寫執行個體 CA 憑證的內容
            config.ca = "<執行個體 CA 憑證>";
            return new com.aliyun.kms20160120.Client(config);
        }
    
        public static void main(String[] args_) throws Exception {
            java.util.List<String> args = java.util.Arrays.asList(args_);
            com.aliyun.kms20160120.Client client = Sample.createClient();
            com.aliyun.kms20160120.models.GetSecretValueRequest getSecretValueRequest = new com.aliyun.kms20160120.models.GetSecretValueRequest()
                    .setSecretName("<SecretName>");
            com.aliyun.teautil.models.RuntimeOptions runtime = new com.aliyun.teautil.models.RuntimeOptions();
            try {
                // 複製代碼運行請自行列印 API 的傳回值
                client.getSecretValueWithOptions(getSecretValueRequest, runtime);
            } catch (TeaException error) {
                // 此處僅做列印展示,請謹慎對待異常處理,在工程專案中切勿直接忽略異常。
                // 錯誤 message
                System.out.println(error.getMessage());
                // 診斷地址
                System.out.println(error.getData().get("Recommend"));
                com.aliyun.teautil.Common.assertAsString(error.message);
            } catch (Exception _error) {
                TeaException error = new TeaException(_error.getMessage(), _error);
                // 此處僅做列印展示,請謹慎對待異常處理,在工程專案中切勿直接忽略異常。
                // 錯誤 message
                System.out.println(error.getMessage());
                // 診斷地址
                System.out.println(error.getData().get("Recommend"));
                com.aliyun.teautil.Common.assertAsString(error.message);
            }
        }
    }
說明

成功擷取憑據值後,SDK 將返回包含 SecretNameSecretData 等欄位的響應對象。可列印 response.body.secretData 查看憑據值,並在實際應用中使用該憑據訪問對應服務來驗證是否成功。